次の方法で共有

ゼロ トラスト用に Microsoft Entra を構成する: エンジニアリング システムを保護する

エンジニアリング システムを保護するための セキュア 未来イニシアチブ の柱は、Microsoft 独自のソフトウェア資産とインフラストラクチャを保護するために最初に開発されました。 この内部作業から得られたプラクティスと分析情報が顧客と共有され、独自の環境を強化できるようになりました。

これらの推奨事項は、組織のエンジニアリング システムとリソースへの最小限の特権アクセスを確保することに焦点を当てています。

セキュリティに関する推奨事項

緊急アクセス アカウントが適切に構成されている

Microsoft では、グローバル 管理者 ロールが永続的に割り当てられている 2 つのクラウド専用緊急アクセス アカウントを組織に付与することをお勧めします。 このようなアカウントは高い特権を持っており、特定のユーザーには割り当てられません。 アカウントは、通常のアカウントを使用できない、または他のすべての管理者が誤ってロックアウトされる、緊急または "中断" のシナリオに限定されます。

修復アクション

グローバル管理者ロールのアクティブ化によって承認ワークフローがトリガーされる

承認ワークフローがない場合、フィッシング、資格情報の詰め込み、またはその他の認証バイパス手法によってグローバル管理者の資格情報を侵害した脅威アクターは、他の検証や監視を行うことなく、テナントで最も特権のあるロールを直ちにアクティブ化できます。 Privileged Identity Management (PIM) を使用すると、資格のあるロールのアクティブ化が数秒以内にアクティブになるため、資格情報が侵害されると、ほぼ瞬時に特権エスカレーションが可能になります。 アクティブ化されると、脅威アクターはグローバル管理者ロールを使用して、次の攻撃パスを使用してテナントへの永続的なアクセスを取得できます。

  • 新しい特権アカウントを作成する
  • 条件付きアクセス ポリシーを変更して、これらの新しいアカウントを除外する
  • 高い特権を持つ証明書ベースの認証やアプリケーションの登録などの代替認証方法を確立する

グローバル管理者ロールは、Microsoft Entra ID および Microsoft Entra ID を使用するサービス (Microsoft Defender XDR、Microsoft Purview、Exchange Online、SharePoint Online など) の管理機能へのアクセスを提供します。 承認ゲートがないと、脅威アクターは迅速にエスカレートしてテナントの引き継ぎを完了し、機密データを流出させ、すべてのユーザー アカウントを侵害し、最初の侵害が検出された後も保持されるサービス プリンシパルまたはフェデレーションの変更を通じて長期的なバックドアを確立できます。

修復アクション

グローバル管理者が Azure サブスクリプションに永続的にアクセスできない

Azure サブスクリプションへの永続的なアクセス権を持つグローバル管理者は、脅威アクターの攻撃対象領域を拡大します。 グローバル管理者アカウントが侵害された場合、攻撃者はすぐにリソースを列挙し、構成を変更し、ロールを割り当て、すべてのサブスクリプションにわたって機密データを流出させることができます。 サブスクリプション アクセスに Just-In-Time 昇格を要求すると、検出可能な信号が発生し、攻撃者の速度が遅くなり、監視可能な制御ポイントを介して影響の大きい操作がルーティングされます。

修復アクション

新しいアプリケーションとサービス プリンシパルの作成は特権ユーザーに制限されます

特権のないユーザーがアプリケーションとサービス プリンシパルを作成できる場合、これらのアカウントが正しく構成されていないか、必要以上に多くのアクセス許可が付与され、攻撃者が初期アクセスを取得するための新しいベクトルが作成される可能性があります。 攻撃者はこれらのアカウントを悪用して、環境内で有効な資格情報を確立し、一部のセキュリティ制御をバイパスすることができます。

特権のないこれらのアカウントに管理者特権のないアカウントが誤って昇格されたアプリケーション所有者のアクセス許可を付与された場合、攻撃者はそれらを使用して、より低いレベルのアクセスからより特権のあるレベルのアクセスに移行できます。 特権のないアカウントを侵害する攻撃者は、自分の資格情報を追加したり、特権のないユーザーによって作成されたアプリケーションに関連付けられているアクセス許可を変更して、検出されない環境に引き続きアクセスできるようにすることができます。

攻撃者は、サービス プリンシパルを使用して、正当なシステム プロセスとアクティビティに溶け込むことができます。 サービス プリンシパルは多くの場合、自動化されたタスクを実行するため、これらのアカウントで実行される悪意のあるアクティビティには疑わしいというフラグが設定されない可能性があります。

修復アクション

非アクティブなアプリケーションには、高い特権を持つ Microsoft Graph API アクセス許可がありません

攻撃者は、引き続き昇格された特権を持つ有効で非アクティブなアプリケーションを悪用する可能性があります。 これらのアプリケーションは、正当なアプリケーションであるため、アラームを発生させることなく初期アクセスを取得するために使用できます。 そこから、攻撃者はアプリケーション特権を使用して、他の攻撃を計画または実行できます。 攻撃者は、資格情報の追加など、非アクティブなアプリケーションを操作してアクセスを維持する可能性もあります。 この永続化により、プライマリ アクセス方法が検出された場合でも、後でアクセスを回復できます。

修復アクション

非アクティブなアプリケーションには、高い特権を持つ組み込みロールがありません

攻撃者は、引き続き昇格された特権を持つ有効で非アクティブなアプリケーションを悪用する可能性があります。 これらのアプリケーションは、正当なアプリケーションであるため、アラームを発生させることなく初期アクセスを取得するために使用できます。 そこから、攻撃者はアプリケーション特権を使用して、他の攻撃を計画または実行できます。 攻撃者は、資格情報の追加など、非アクティブなアプリケーションを操作してアクセスを維持する可能性もあります。 この永続化により、プライマリ アクセス方法が検出された場合でも、後でアクセスを回復できます。

修復アクション

アプリの登録で安全なリダイレクト URI を使用する

ワイルドカードを含む URL または URL 短縮機能を使用して構成された OAuth アプリケーションは、脅威アクターの攻撃対象領域を増やします。 セキュリティで保護されていないリダイレクト URI (応答 URL) を使用すると、敵対者は、攻撃者が制御するエンドポイントにユーザーを誘導することで、認証要求の操作、承認コードのハイジャック、トークンの傍受が可能になる場合があります。 ワイルドカード エントリは、意図しないドメインに認証応答の処理を許可することでリスクを拡大します。一方、URL を短縮すると、制御されていない環境でのフィッシングやトークンの盗難が容易になる可能性があります。

リダイレクト URI を厳密に検証しないと、攻撃者はセキュリティ制御をバイパスし、正当なアプリケーションを偽装し、特権をエスカレートすることができます。 この構成ミスにより、敵対者が弱い OAuth 強制を悪用して、検出されない保護されたリソースに侵入するため、永続化、未承認のアクセス、横移動が可能になります。

修復アクション

サービス プリンシパルが安全なリダイレクト URI を使用する

ワイルドカード、localhost、または URL 短縮を含む URL で構成された Microsoft 以外のマルチテナント アプリケーションは、脅威アクターの攻撃対象領域を増やします。 これらの安全でないリダイレクト URI (応答 URL) により、敵対者は、攻撃者が制御するエンドポイントにユーザーを誘導することで、認証要求の操作、承認コードのハイジャック、トークンの傍受が可能になる場合があります。 ワイルドカード エントリは、意図しないドメインが認証応答を処理することを許可することでリスクを拡大します。一方、localhost と短縮 URL は、制御されていない環境でのフィッシングやトークンの盗難を容易にする可能性があります。

リダイレクト URI を厳密に検証しないと、攻撃者はセキュリティ制御をバイパスし、正当なアプリケーションを偽装し、特権をエスカレートすることができます。 この構成ミスにより、敵対者が弱い OAuth 強制を悪用して、検出されない保護されたリソースに侵入するため、永続化、未承認のアクセス、横移動が可能になります。

修復アクション

アプリの登録には、未解決または破棄されたドメイン リダイレクト URI を含めてはなりません

アプリの登録で保持されていないリダイレクト URI または孤立したリダイレクト URI は、アクティブなリソースを指し示しなくなったドメインを参照するときに、重大なセキュリティ脆弱性を作成します。 脅威アクターは、破棄されたドメインでリソースをプロビジョニングし、リダイレクト エンドポイントを効果的に制御することで、これらの "未解決" DNS エントリを利用できます。 この脆弱性により、攻撃者は OAuth 2.0 フロー中に認証トークンと資格情報を傍受でき、不正アクセス、セッションハイジャック、組織の広範な侵害の可能性があります。

修復アクション

Microsoft Entra ID のアプリケーションにグループ所有者が同意できるようにすると、横方向のエスカレーション パスが作成され、脅威アクターは管理者の資格情報なしでデータを保持して盗むことができます。 攻撃者がグループ所有者アカウントを侵害した場合、悪意のあるアプリケーションを登録または使用し、グループを対象とした高い特権を持つ Graph API のアクセス許可に同意することができます。 攻撃者は、すべての Teams メッセージを読み取ったり、SharePoint ファイルにアクセスしたり、グループ メンバーシップを管理したりする可能性があります。 この同意アクションにより、委任されたアクセス許可またはアプリケーションアクセス許可を持つ有効期間の長いアプリケーション ID が作成されます。 攻撃者は OAuth トークンを使用して永続化を維持し、チーム チャネルやファイルから機密データを盗み、メッセージングまたは電子メールのアクセス許可を通じてユーザーを偽装します。 アプリの同意ポリシーを一元的に適用しないと、セキュリティ チームは可視性を失い、悪意のあるアプリケーションがレーダーの下に広がり、コラボレーション プラットフォーム間でマルチステージ攻撃が可能になります。

修復アクション Resource-Specific Consent (RSC) アクセス許可の事前適用を構成します。

ワークロード ID に特権ロールが割り当てられない

管理者がサービス プリンシパルやマネージド ID などのワークロード ID に特権ロールを割り当てると、それらの ID が侵害された場合、テナントは重大なリスクにさらされる可能性があります。 特権ワークロード ID にアクセスする脅威アクターは、偵察を実行してリソースを列挙し、特権をエスカレートし、機密データを操作または流出させることができます。 通常、攻撃チェーンは、資格情報の盗難や脆弱なアプリケーションの悪用から始まります。 次の手順は、割り当てられたロールによる特権エスカレーション、クラウド リソース間の横移動、最後に他のロールの割り当てまたは資格情報の更新による永続化です。 ワークロード ID は自動化でよく使用され、ユーザー アカウントほど厳密に監視されない場合があります。 その後、侵害が検出されず、脅威アクターは重要なリソースへのアクセスと制御を維持できます。 ワークロード ID は MFA などのユーザー中心の保護の対象ではなく、最小限の特権の割り当てと定期的なレビューが不可欠になります。

修復アクション

エンタープライズ アプリケーションでは、明示的な割り当てまたはスコープ付きプロビジョニングが必要です

エンタープライズ アプリケーションに明示的な割り当て要件とスコープ設定されたプロビジョニング制御の両方がない場合、脅威アクターはこの二重の弱点を利用して、機密性の高いアプリケーションとデータへの不正アクセスを得ることができます。 最も高いリスクは、既定の設定でアプリケーションが構成されている場合に発生します。"割り当てが必要" が "いいえ" に設定 され、 プロビジョニングは必要ありません。スコープも設定されていません。 この危険な組み合わせにより、テナント内の任意のユーザー アカウントを侵害する脅威アクターは、広範なユーザー ベースを持つアプリケーションにすぐにアクセスでき、攻撃対象領域が広がり、組織内での横移動の可能性が広がります。

割り当てが開いているが適切なプロビジョニング スコープを持つアプリケーション (部門ベースのフィルターやグループ メンバーシップの要件など) では、プロビジョニング 層を通じてセキュリティ制御が維持されますが、両方の制御を持たないアプリケーションでは、脅威アクターが悪用できる無制限のアクセス経路が作成されます。 アプリケーションが割り当て制限なしですべてのユーザーのアカウントをプロビジョニングすると、脅威アクターは侵害されたアカウントを悪用して偵察アクティビティを実施したり、複数のシステム間で機密データを列挙したり、接続されたリソースに対するさらなる攻撃のステージング ポイントとしてアプリケーションを使用したりすることができます。 この無制限のアクセス モデルは、昇格されたアクセス許可を持っているか、重要なビジネス システムに接続されているアプリケーションでは危険です。 脅威アクターは、侵害されたユーザー アカウントを使用して、機密情報にアクセスしたり、データを変更したり、アプリケーションのアクセス許可で許可されている未承認のアクションを実行したりできます。 割り当て制御とプロビジョニング スコープの両方が存在しない場合、組織は適切なアクセス ガバナンスを実装できなくなります。 適切なガバナンスがないと、どのアプリケーションにアクセスできるか、いつアクセス権が付与されたか、ロールの変更や雇用状態に基づいてアクセスを取り消す必要があるかを追跡することは困難です。 さらに、広範なプロビジョニング スコープを持つアプリケーションでは、侵害された 1 つのアカウントが接続されたアプリケーションとサービスのエコシステム全体にアクセスできる、連鎖的なセキュリティ リスクが発生する可能性があります。

修復アクション

ユーザーあたりのデバイスの最大数を 10 に制限する

デバイスの急増を制御することが重要です。 各ユーザーが Microsoft Entra ID テナントに登録できるデバイスの数に適切な制限を設定します。 デバイス登録を制限すると、セキュリティが維持され、ビジネスの柔軟性が確保されます。 Microsoft Entra ID を使用すると、ユーザーは既定で最大 50 台のデバイスを登録できます。 この数を 10 に減らすと、攻撃対象領域が最小限に抑え、デバイス管理が簡素化されます。

修復アクション

特権アクセス ワークステーションの条件付きアクセス ポリシーが構成されている

特権ロールのアクティブ化が専用の Privileged Access Workstations (PAW) に制限されていない場合、脅威アクターは、侵害されたエンドポイント デバイスを悪用して、アンマネージド ワークステーションまたは非準拠ワークステーションからの特権エスカレーション攻撃を実行する可能性があります。 標準的な生産性ワークステーションには、多くの場合、無制限の Web 閲覧、フィッシングに対して脆弱な電子メール クライアント、潜在的な脆弱性を持つローカルにインストールされたアプリケーションなどの攻撃ベクトルが含まれています。 管理者がこれらのワークステーションから特権ロールをアクティブ化した場合、マルウェア、ブラウザーの悪用、またはソーシャル エンジニアリングによって初期アクセスを取得する脅威アクターは、ローカルにキャッシュされた特権資格情報を使用するか、既存の認証済みセッションをハイジャックして特権をエスカレートできます。 特権ロールのアクティブ化により、Microsoft Entra ID と接続済みサービス間で広範な管理者権限が付与されるため、攻撃者は新しい管理アカウントを作成し、セキュリティ ポリシーを変更し、すべての組織リソースの機密データにアクセスし、環境全体にマルウェアやバックドアを展開して永続的なアクセスを確立できます。 侵害されたエンドポイントから特権クラウド リソースへのこの横移動は、多くの従来のセキュリティ制御をバイパスする重要な攻撃パスを表します。 認証された管理者のセッションから発信された場合、特権アクセスは正当に表示されます。

このチェックに合格した場合、テナントには PAW デバイスへの特権ロール アクセスを制限する条件付きアクセス ポリシーがありますが、PAW ソリューションを完全に有効にするために必要な制御はそれだけではありません。 また、Intune デバイスの構成とコンプライアンス ポリシーとデバイス フィルターを構成する必要もあります。

修復アクション